Welche Phishing-Varianten gibt es?
Das Wort Phishing wurde um 1996 von Hackern geprägt, die Konten und Passwörter von America Online stahlen. Analog zum Angelsport setzten diese Internetbetrüger E-Mail-Köder ein, um Passwörter und Finanzdaten aus dem „Meer“ der Internetnutzer zu „fischen“Oft werden die Methoden des Social Engineering benutzt, bei dem die Gutgläubigkeit der Opfer ausgenutzt wird.
Ich möchte in diesem Blogartikel nicht darüber schreiben, was genau Phishing ist oder was es für Methoden gibt. Was ich möchte, ist mit dem ganzen „Phishing-Vokabular“ aufzuräumen, da diese tagtäglich in diversen Blogartikeln vorkommen und man deswegen den Überblick verliert. Deshalb habe ich die aus meiner Sicht wichtigsten Varianten zusammengefasst. Diese wären:
Pharming[1]
Dies sind Phishing-Angriffe, welche Benutzer dazu verleiten betrügerische Websiten anstelle der Webseiten zu besuchen, die sie besuchen möchten. Pharming kann durch einen Angriff auf die Hostdatei eines Systems, das Domain Name System (DNS), eine Organisation oder durch einen Domain-Homograph-Angriff erfolgen. Letztere sind Angriffe, bei der die Angreifer das ähnliche Aussehen verschiedener Schriftzeichen dazu nutzen einen falschen Domainnamen, der fast genauso aussieht wie ein bekannter Domainname, vorzutäuschen, um so die Opfer auf eine andere Webseite zu locken.
Clone-Phishing[2]
Die Angreifer erstellen Kopien von E-Mails (deshalb auch Klon) die die Opfer schon kennen und welche sie aus diesem Grund als „vertrauenswürdig“ wahrnehmen. Die Emails beinhalten einen Link oder einen Anhang mit böswilligen ausführbaren Programmen. Die Opfer klicken entweder auf den Link oder öffnen den Anhang, was es den Angreifer ermöglicht deren Rechner zu kontrollieren.
Spearphishing[3]
Diese Phishing-Nachrichten zielen auf eine einzelne Organisation indem die Nachrichten stark auf diese Organisation angepasst sind. Dies können, z.B. Emails sein, die fast genau so aussehen als kämen diese vom IT-Helpdesk, bzw. einem internen IT-Support.
Whaling[4]
Dies sind Phishing-Nachrichten, welche gezielt an Führungskräfte einer Zielorganisation versendet werden. Das Wort „Whaling“ kommt aus dem Englischen und bedeutet „Walfang“. Im Kontext des Phishing symbolisieren die Wale die oberen Führungskräfte. Es gab einmal einen Fall, bei dem ein hochrangiger Finanzabteilungsleiter „überredet“ wurde, eine 1,5 Millionen Dollar Zahlung an eine chinesische Scheinfirma zu tätigen. Der Angreifer gab sich selber als CEO aus.
Smishing[5]
Diese Phishing-Nachrichten werden über SMS zugestellt. Oft sollen diese dazu verleiten Links oder Telefonnummern zu folgen ,bzw. zu wählen.
Telefon-Phishing[6],[7]
Bei Phishing-Versuchen per Telefon, manchmal auch Voice-Phishing oder „Vishing“ genannt, rufen Phisher ihre Opfer an und geben vor jemand zu sein, der sie nicht sind. Oft geben sie sich als Bankangestellte, Polizei- oder Finanzbeamte aber auch angebliche Arbeitgebermitarbeiter aus, mit dem Ziel ihre Opfer zu „überreden“ etwas zu tun, was sie nie freiwillig tun würden. Oft handelt es sich um die Preisgabe vertraulicher Informationen wie Passwörter oder die Durchführung von Zahlungen.
Zusammenfassung
Egal wie viele unterschiedliche Varianten von Phishing-Angriffen es gibt, gemeinsam allen ist, dass die Angreifer ihren Opfern etwas vortäuschen, um an vertrauensvolle Informationen zu gelangen oder etwas zu initiieren. Zum Schluss noch eine Anmerkung: Es ist eine Straftat, Personen so zu täuschen, dass diese sensible Informationen preisgeben. Selbst wenn es gut gemeint ist!
Euer Simon
Referenzen
[1] https://de.m.wikipedia.org/wiki/Pharming_(Internet)
[2] https://www.msp360.com/resources/blog/clone-phishing/amp/
[3] https://www.kaspersky.de/resource-center/definitions/spear-phishing
[6] https://praxistipps.focus.de/phishing-anrufe-was-das-ist-und-wie-sie-sich-davor-schuetzen_145428
[7] https://www.bundesnetzagentur.de/DE/Vportal/TK/Aerger/Aktuelles/start.html